Технический аудит · 2026-04-12 · Последняя проверка: 24.05.2026 · Исправлено

aki.ee

Государственный регулятор GDPR

Государственный регулятор, который штрафует компании за трекеры без согласия — сам запускал их на своём сайте без баннера. После официального уведомления 14 апреля главный трекер был заблокирован. Но баннера согласия как не было, так и нет.

Хронология утечки

+0,24 сек · аудит 12.04 · до согласия

Cloudflare Insights — статус 200, реальная передача в США, 8 раз за сессию. Matomo +0,26 сек, browser-update.org +0,52 сек — всё без баннера.

Повторная проверка 24.05

Cloudflare Insights теперь статус 0 — заблокирован, данные не уходят. Частота всех запросов упала с 8 до 1 раза. Появилась собственная инфраструктура (Bürokratt на *.aki.ee). Но browser-update.org (+412 мс, 304) и Cloudflare CDN остались.

Декларация против факта

✓ Matomo на эстонском домене statistika.rik.ee — заявлен

+ Cloudflare Insights — на момент аудита передавал данные, после уведомления заблокирован — не заявлен

+ browser-update.org — остаётся в коде на 24.05 — не заявлен

+ cdnjs.cloudflare.com — Cloudflare CDN, данные в США — не заявлен

Зафиксированные трекеры

Cloudflare Insights
browser-update.org
Cloudflare CDN (cdnjs)
Matomo (statistika.rik.ee)

Зафиксированные нарушения

GDPR Art. 7

Механизм согласия отсутствует. На сайте регулятора по защите данных нет баннера согласия — ни на момент аудита, ни при повторной проверке 24.05.2026.
GDPR Art. 6(1), Art. 5(1)(a)

На момент аудита Cloudflare Insights и browser-update.org запускались без какого-либо согласия. Баннера не существовало.
GDPR Art. 13(1)(e)

browser-update.org не задекларирован в политике куки.
GDPR Art. 13(1)(f), Chapter V

Механизм передачи данных в США (Cloudflare) не указан.

Контекст

AKI — Инспекция по защите данных Эстонии. Государственный регулятор: принимает жалобы на нарушения GDPR, штрафует компании, требует соблюдения закона от других. Стандарт соответствия здесь должен быть образцовым по определению.

Что было на момент аудита

На сайте регулятора по защите данных не было баннера согласия — ни на главной, ни на страницах с вопросами и ответами. Скрипты запускались сразу, без спроса. Cloudflare Insights (+0,24 сек, статус 200) реально передавал данные в США 8 раз за сессию. Matomo на эстонском домене statistika.rik.ee (+0,26 сек) — эстонский хостинг это плюс, но загрузка до согласия остаётся нарушением. browser-update.org (+0,52 сек, статус 304) — сторонний американский сервис, в политике куки не упомянут.

CSP на сайте был установлен в режиме report-only: нарушения фиксировались в логах, но скрипты продолжали загружаться. Регулятор видел нарушения на собственном сайте — и не блокировал их.

Что изменилось после уведомления

14 апреля 2026 года AKI получил официальное уведомление с задокументированными нарушениями на собственном сайте. Повторная проверка 24 мая 2026 года показывает частичную реакцию:

Cloudflare Insights теперь получает статус 0 — запрос инициируется, но блокируется, данные больше не уходят в США. Частота всех внешних запросов упала с восьми до одного раза за сессию. Появилась собственная эстонская инфраструктура — чат-бот Bürokratt на поддоменах *.aki.ee.

Однако ключевые проблемы остались: баннера согласия по-прежнему нет вообще (ст.7), browser-update.org (+412 мс, статус 304) всё ещё загружается и не задекларирован, а Cloudflare CDN (cdnjs.cloudflare.com) передаёт данные в США. Сам факт, что Cloudflare Insights всё ещё инициирует запрос (хоть и блокируется), означает, что он остаётся прописанным в коде.

Вывод

Это не атака на регулятора — это зеркало. Тот же стандарт, который AKI требует от других, должен начинаться с собственного сайта, иначе требование теряет смысл, а доверие к регулятору — основу. После уведомления главный трекер был обезврежен — это реальный результат. Но отсутствие механизма согласия, на котором AKI настаивает в работе с другими, на его собственном сайте сохраняется. eesti.ee доказывает, что исправить это технически несложно. Вопрос в том, считает ли регулятор нужным применять к себе те же правила, что и к другим.

Доказательство

Оригинал (разбор)

HAR-файл: ee/aki-ee-2026-04-12.har

Контрольный снимок

Ждём изменений

HAR-файлы хранятся в EU-инфраструктуре (Proton Drive). SHA-256 публикуется для проверки целостности.

Готовое письмо для подачи жалобы

Куда подавать: AKI — Эстонский надзорный орган по защите данных — напишите на info@aki.ee

Важно: AKI рассматривает обращения только на эстонском языке. Переведите письмо перед отправкой.

Кому: AKI — Эстонский надзорный орган по защите данных
От: [Ваше имя], [контактный email]

1. Предмет жалобы
Я подаю жалобу в отношении обработки моих персональных данных сайтом aki.ee.

2. Обстоятельства
Я посетил сайт aki.ee и обнаружил, что мои персональные данные обрабатывались с нарушением требований GDPR. Технический разбор, опубликованный на gdpru.eu 12.04.2026 (открытая методология, воспроизводимые измерения), документирует следующее:

1) Механизм согласия отсутствует. На сайте регулятора по защите данных нет баннера согласия — ни на момент аудита, ни при повторной проверке 24.05.2026.

2) На момент аудита Cloudflare Insights и browser-update.org запускались без какого-либо согласия. Баннера не существовало.

3) browser-update.org не задекларирован в политике куки.

4) Механизм передачи данных в США (Cloudflare) не указан.

Полная техническая документация опубликована по адресу: https://gdpru.eu/audits/aki.ee/

3. Нарушенные положения
GDPR Art. 7; GDPR Art. 6(1), Art. 5(1)(a); GDPR Art. 13(1)(e); GDPR Art. 13(1)(f), Chapter V

4. Требование
Прошу провести проверку указанных нарушений и принять меры, предусмотренные статьёй 58(2) GDPR.

5. Приложения
Полная доказательная база — HAR-файл, контрольная сумма SHA-256
и цитата из политики конфиденциальности сайта, документирующая
указанное противоречие — опубликована и проверяема по ссылке
в пункте 2 выше.

[Дата] [Подпись/имя]